Mit (selbsterstellten und signierten) Zertifikaten Kommunikationsprozesse in UCS absichern

Zertifikate – warum und wozu

In diesem Artikel möchte ich Ihnen einen Einblick in das Thema „Absicherung des internetbasierten Austausches von Informationen durch Zertifikate“ geben. Dazu werfe ich einen kurzen Blick zurück auf die Anfänge des Internets und die Verwendung von Protokollen wie HTTP, SMTP, POP… und deren verschlüsselten Transport über SSL bzw. TLS. Vor allem möchte ich Ihnen aber erklären, wie Sie mit Univention Corporate Server öffentliche Zertifikate für die Absicherung Ihrer Datenübertragung nutzen können oder aber auch mit dem Tool Let‘s Encrypt selber vertrauenswürdige Zertifikate dafür erstellen können. Ganz sicher und auch noch kostenfrei.

Single-Sign-on-Anmeldung für Applikationen auch für Gruppen anlegen

Headerbild: SSO mit SAML für UCS-Gruppen
Seit der Einführung der Unterstützung für Single Sign-on via Secure Authentication Markup Language (SAML) in Univention Corporate Server (UCS) kann ein Administrator am Benutzerobjekt hinterlegen, an welchen Anwendungen, im SAML Kontext Service Provider genannt, sich ein Benutzer via Single Sign-on anmelden darf. Für Administratoren in Organisationen mit vielen Benutzern kann diese Zuweisung aufwendig sein.

Zwei Standards aber ein gemeinsames Single Sign-on: Integration von SAML und OpenID Connect

Mit der Integration von Kopano Konnect in den Single-Sign-on-Verbund von Univention Corporate Server steht eine weitere Option zur Verfügung, mit der Nutzern über ein einmaliges, initiales Login mit ihrem Benutzernamen und Passwort Zugriff auf unterschiedlichste Applikationen, die mit UCS integriert werden, zu geben.
Die beiden Authentifizierungsstandards SAML (Security Assertion Markup Language) und OpenID Connect stehen schon länger für die Authentifizierung von Nutzern an UCS zur Verfügung. Bisher hat es sich bei den beiden Technologien aber um voneinander getrennte Welten gehandelt. Wenn ein Teil der Web-Dienste SAML und ein anderer Teil OpenID Connect für die Authentifizierung gegen das Identity Management von UCS nutzt, war es notwendig, dass sich Anwender in Umgebungen mit mehreren Diensten zweimal einloggen. Mit Unterstützung des Teams von Kopano konnten wir eine Erweiterung der App „OpenID Connect IDP“ im App Center veröffentlichen, die die beiden Standards miteinander integriert und so ein einziger Authentifkations-Vorgang durch die Endanwender ausreichend ist.

Ich möchte Ihnen kurz erklären, wie ein Single Sign-on grundsätzlich mit UCS funktioniert. Anschließend erkläre ich Ihnen das Zusammenspiel von Kerberos, SAML und OpenID Connect und zeige, welche Funktionen die neue Implementierung von Kopano Konnect für UCS-Nutzer mitbringt.

Passwort-Hashes zwischen MS Active Directory und UCS-Domäne abgleichen

Schaubild: UCS Kerberos-Hashes

Mit der Version 4.4-4 von Univention Corporate Server (UCS) ist das Synchronisieren von Passwort-Hashes zwischen einer Microsoft Active Directory Domäne und einer UCS-Domäne deutlich sicherer und vor allem weniger fehleranfällig geworden. Während frühere Versionen des AD Connector lediglich NTLM-Hashes abgleichen konnten, liest der AD Connector von UCS 4.4-4 nun auch neuere Hashes aus, die so genannten Kerberos Hashes (auch Kerberos Keys genannt), mit denen ein Single-Sign-on an unterschiedlichen Anwendungen möglich ist.

Automatische Kontosperrung nach fehlgeschlagenen Anmeldeversuchen einrichten

In der Voreinstellung können UCS-Benutzer*innen ihr Kennwort beliebig oft falsch eingeben, ohne dass das System sie aussperrt. Um Brute-Force-Attacken zum Knacken der Kennwörter zu erschweren, können UCS-Administratoren eine automatische Sperre einrichten, die einen Account nach einer frei definierbaren Anzahl von Fehlversuchen am Zutritt hindert.
Univention Corporate Server bietet mehrere Methoden zum Authentifizieren und Autorisieren. In diesem Blogartikel zeige ich Ihnen, wie Sie über PAM-Stack, OpenLDAP und Samba jeweils fehlgeschlagene Anmeldeversuche im System protokollieren und wie Sie als Administrator die Anzahl der erfolglosen Logins einschränken.

Domain Replication Service (DRS) mit Samba für robuste, verteilte Umgebungen

In großen Umgebungen mit Tausenden von Nutzern, befinden sich in der Regel immer mehrere Domain Controller für die Authentisierung und Authentifizierung von Benutzern. Um dies für Windows PCs zu ermöglichen, nutzt Univention Corporate Server (UCS) Samba 4. Samba 4 eignet sich ausgezeichnet dafür, Daten optimal zu synchronisieren.
Die Replikation von Verzeichnisdiensten auf andere Server-Systeme bietet einge Vorteile, der wichtigste ist die so mögliche Lastverteilung und Redundanz. Während für OpenLDAP ein hierarchisches Replikationsmodell umgesetzt ist, erfolgt die Replikation in einem Active Directory (und damit auch bei Samba AD Domaincontrollern) als sog. Multi-Master-Replikation. Das bedeutet, dass jeder Domaincontroller von und mit jedem anderen Domaincontroller replizieren kann. Als technische Komponente kommt hier der sog. Directory Replication Service (DRS) zum Tragen. Samba 4 eignet sich ausgezeichnet dafür, Daten optimal zu synchronisieren. Mit einigen kleinen Anpassungen können Sie damit aber auch noch die Performance Ihrer Umgebung deutlich erhöhen. Für welche Umgebungen sich das anbietet und welche Einstellungen Sie dafür in einer UCS-Umgebung vornehmen müssen, erkläre ich Ihnen im Folgenden.

Lösungen für Teams zur Zusammenarbeit im Home Office bereit stellen

Viele Arbeitnehmer haben sich in den letzten Tagen und Wochen ins Home Office zurückgezogen, um Infektionsketten zu unterbrechen, andere planen dies zu tun oder würden es gerne. Aber nicht jedem stehen die nötige Tools zur Verfügung, um in möglichst vielen Bereichen weiter produktiv und zusammen mit Kollegen arbeiten zu können. Remote Arbeit und die Zusammenarbeit mehrerer aus dem Home Office stellen besondere Anforderungen an die Arbeitsweise im Team und an die Werkzeuge, mit denen gearbeitet wird.

Univention Corporate Server (UCS) bietet als offene Hyperintegration-Plattform und mit dem Univention App Center eine ganze Reihe unterschiedlicher Anwendungen, die ein effektives und kollaboratives Arbeiten aus dem Home Office ermöglichen. So befinden sich unter den über 90 Applikationen im App Center zum Beispiel Lösungen für Filesharing (Nextcloud, ownCloud oder Seafile), für Projektmanagement (OpenProject und die Kanban-Lösung Wekan), Videokonferenzen (Kopano Meet), Echzeit-Kommuniktaion (Rocket.Chat) oder Wissenstransfer (MediaWiki Bluespice). All die genannten Lösungen gibt es auch als auf UCS vorkonfigurierte virtuelle App Appliance, die Sie mit einem sehr überschaubaren Einsatz in Betrieb nehmen und Ihren Kollegen für das Home Office bereitstellen können.

Film-Tutorial: Wie stellen Sie Self Services in UCS bereit und wie nutzen Sie diese?

Wenn ein UCS-Benutzer sein Passwort vergessen hat oder zum Beispiel einfach sein Profilbild ändern möchte, muss dieser seit UCS 4.1 keinen Administratoren mehr darum bitten und kann das kinderleicht einfach selbst übernehmen. Voraussetzung: die App UCS Self Service ist installiert. Wie die App in Betrieb genommen und benutzt wird, zeigen wir Ihnen in unseren Film-Tutorial.

Film-Tutorial: Wie benutze ich User Templates in der UMC?

Univention Corporate Server (UCS) bietet mit den User Templates ein bewährtes Mittel, um Aufwände bei IT-Admins zu minimieren. Denn wer kennt diese leichten Zweifel nicht: Hat die E-Mail-Adresse des neuen Praktikanten tatsächlich die richtige Syntax? Wurde der neue Kollege der richtigen Nutzergruppe hinzugefügt? Diese und ähnliche Zweifel auszuräumen und Nutzer-Accounts konsistent anzulegen, helfen die Benutzervorlagen. Dabei sparen sie Zeit und stellen sicher, dass keine wichtigen Attribute und Einstellungen vergessen werden.

Film-Tutorial: Windows 10-Rechner als Client einer UCS-Domäne hinzufügen

In unserem 4-minütigen UCS-Tutorial zeigen wir Ihnen, wie Sie einen Windows 10-Rechner Ihrer UCS-Domäne hinzufügen. Dazu bereiten wir zunächst die UCS-Domäne vor, indem wir aus dem Univention App Center das Software-Paket „Active Directory Domain Controller“ installieren. Der Active Directory Domain Controller ist eine App, die UCS um Active-Directory-Funktionen erweitert. So wird der Betrieb eines Active-Directory-kompatiblen Domain Controllers mit UCS und damit die Anmeldung über einen Windows Clients möglich. Außerdem werden über Replikationsmechanismen die Daten auf andere Domänencontroller synchronisiert und miteinander abgeglichen.